전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  2. 게시판
  3. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 불법 크랙 프로그램 찾다가 악성코드 감염?
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2020-11-19
  • 추천 추천하기
  • 조회수 1924

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램 다운로드 웹사이트를 위장하여 정보 유출형 악성코드를 유포하는 피싱 사이트를 발견했다. 피싱 사이트의 게시글은 실제 유틸리티 프로그램 이미지와 함께 정교하게 구성되어 있어 악성 여부를 알아채기 어려운만큼, 사용자들의 각별한 주의가 요구된다.

 

 

 

이번에 발견된 피싱 사이트는 ASEC이 지난 6월 29일 블로그를 통해 발표한 내용과 유사하게 동작한다. 구글 검색 키워드로 유틸리티 프로그램명과 ‘크랙(Crack)’을 함께 검색하면 상단에 노출된다. 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해 해당 페이지에 접속하여 감염되었을 것으로 추정된다.

 

 

 [그림 1] 크랙 프로그램 검색 시 상단에 노출되는 피싱 사이트

 

감염 경로를 요약하면, 피싱 사이트에 접속한 사용자가 페이지 하단에 위치한 다운로드 링크([그림 3])를 클릭하면 악성코드 유포지로 접속되고, 최종적으로 악성코드를 포함한 압축 파일을 다운로드 받게 되는 형식이다.

 

  

 [그림 2] 피싱 페이지 화면

 

  

 [그림 3] 게시글 하단에 위치한 정보 유출형 악성코드 다운로드 링크

 

악성코드는 ‘유틸리티명_특정 해시값.zip’ 형태로 다운로드된다. 압축파일에는 정보 유출형 악성코드가 포함된 SetupFile-86x-64xen.zip 압축파일과 압축 비밀번호가 담긴 txt 파일, 악성코드 실행을 유도하는 ReadMe.txt 파일이 저장되어 있다.

 

 

[그림 4] wondershare_ceccea53be6aa48d6199e175b0035715.zip 압축파일 내부

 

ReadMe 문서에는 현재 사용 중인 Anti-Virus(AV), 방화벽 등을 종료할 것을 요구하는 문구가 있다 ([그림 5] 참고). 이는 보통 키젠(Keygen)이나 크랙 버전 프로그램들을 유해한 프로그램으로 진단하기 때문인 것으로 보이지만, 실제로 해당 파일은 키젠, 크랙 프로그램이 아닌 악성코드의 기능만 존재하기 때문에 악성코드 진단 우회 목적으로 명시한 문구로 보인다.

 

 

 [그림 5] First-ReadMe–.txt 파일 내부

 

SetupFile-86x-64xen.zip 압축해제를 위해 ‘77788899’ 패스워드를 입력하면 악성코드(SetupFile-86x-64xen.exe)가 생성된다. 악성코드를 실행하면 “%temp%\IXP000.TMP” 폴더에 정상 오토잇 스크립트 실행 프로그램([그림 6]의 lsass.com)과 인코딩된 악성 PE 파일을 드롭한다. 이후 “c:\windows\system32\attrib.exe”를 실행시킨 뒤 인코딩 PE를 디코딩하여 인젝션한다.

 

  

 [그림 6] 자사 동적 분석 시스템 RAPIT 프로세스 트리 정보

 

디코딩된 PE는 안티 샌드박스(Anti-SandBox) 기능이 존재하는 정보 유출형 악성코드다. 해당 악성코드는 아래 정보들을 확인하고, 한 가지라도 충족되면 자신의 프로세스를 종료한다.

=

- GetSystemMetrics API를 활용한 스크린 화면 확인 기능 (현재 스크린의 가로축이 1027보다 작을 경우)

- GetSystemInfo API를 활용한 CPU 코어 수 확인 기능 (CPU 코어 수가 1개일 경우)

- 레지스트리 키 정보를 참고하여 CPU 이름이 “Xeon”일 경우 자신을 종료

- GlobalMemoryStatusEx API를 활용한 물리 메모리 확인 기능 (물리 메모리가 2GB 보다 작을 경우)

 

샌드박스 환경을 확인하고 나면, 사용자 PC에서 다음과 같은 정보들을 유출하여 Zip 파일로 압축 후 C&C 서버에 전송한다.

- 브라우저 패스워드 정보

- 웹 브라우저 쿠키 정보

- 가상화폐 관련 지갑 정보

- 사용자 PC 바탕화면 캡처 이미지

- PC의 CPU, RAM, OS, 키보드 레이아웃 정보

- 설치된 소프트웨어 목록

 

  

[그림 7] 안티 샌드박스 기능

 

이와 같은 피싱 사이트의 특징은 해당 사이트에 업로드된 다른 유틸리티(Adobe Photoshop CC 2020, DLL Files Fixer 등)의 크랙 버전도 모두 같은 악성코드 유포지로 리다이렉트 된다는 점이다. 즉, 최종적으로 실행되는 악성코드가 모두 동일한 것이다.

 

이번 글에서 다룬 피싱 사이트 외에도 정보 유출형 악성코드를 유포하는 피싱 사이트의 변형이 굉장히 많은 것으로 추정된다. 일반 사용자는 불법 크랙 프로그램 사이트 접속을 자제하고 정상 소프트웨어 사용을 지향해야 한다.

 

현재 안랩 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지 및 차단하고 있다.

 

[파일진단]

Dropper/Win32.AutoIt (2020.11.09.02)

 

[행위진단]

Malware/MDP.Injection.M3495

 

[IOC]

<파일>

0893CE760326613FFE3E60098780C393

 

<피싱 사이트>

piratesfile.com

haxpc.net

free4pc.org

hmzapc.com

 

<C&C 주소>

http[:]//kirraadd03.top/index.php

 

이번 피싱 사이트를 통한 악성코드 유포에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기
첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
스팸신고 스팸해제 목록 삭제 수정 답변
댓글 수정

비밀번호 :

수정 취소

/ byte

비밀번호 : 확인 취소

HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

02-716-1915

FAX : 02-716-1917
MAIL : sales@softinfo.co.kr
MONDAY - FRIDAY AM 10 - PM 6
LUNCH 12:00 - 13:00
WEEKEND, HOLIDAY OFF

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

COMPANY : (주)소프트정보서비스        OWNER : 박양근       CALL : 02-716-1915        ADRESS : 04376 서울특별시 용산구 한강대로 109 (한강로2가) 용성비즈텔 802호       
BUSINESS NUMBER : 106-81-80499 [사업자정보확인]        SHOPPINGMALL ORDER LICENSE : 제2004-서울용산-03126호 [사업자정보확인]
E-MAIL : sales@softinfo.co.kr

Copyright(c) (주)소프트정보서비스 all rights reserved.        호스팅제공자 : (주)카페24

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close